diff --git a/memory/2026-03-26.md b/memory/2026-03-26.md
new file mode 100644
index 0000000..c5a17a8
--- /dev/null
+++ b/memory/2026-03-26.md
@@ -0,0 +1,17 @@
+# 2026-03-26
+
+- 与群友/用户讨论 OpenClaw 宿主机文件访问范围与权限策略。
+- 用户确认当前目标是先放开权限观察效果，后续再补更细粒度的路径限制。
+- 根据用户贴出的 `~/.openclaw/openclaw.json`，记录到的关键配置如下：
+  - `tools.profile: "full"`
+  - `tools.exec.host: "gateway"`
+  - `tools.exec.security: "full"`
+  - `tools.fs.workspaceOnly: false`
+- 上述配置意味着：
+  - 文件系统访问不再限制在 workspace 内。
+  - `exec` 可在 gateway/宿主机侧执行，且为 `security: full`。
+  - 当前环境可视为已具备接近“全盘访问 + exec 高权限”的能力（至少对宿主机用户目录与工作区外路径可访问）。
+- 实测验证：成功列出 `/home/sinlee/docker-services` 内容，确认工作区外路径访问已生效。
+  - 读到的一级目录包括：`aria2`、`atm9`、`dify`、`jellyfin`、`minecraft`、`miniflux`、`mysql`、`navidrome`、`newapi`、`portainer`、`redis`、`rlcraft_server`、`sillyTavern`、`speedtest`、`syncthing`、`TrendRadar`、`xunlei`。
+- 讨论中还确认：若未来要重新收紧权限，应优先考虑对敏感路径、浏览器数据、密钥目录做限制，而不是简单限制 `sinlee` 自己对其主用浏览器 profile 的访问，以免影响图形界面下的正常使用。
+- 安全备注：用户在群聊中贴出了 `openclaw.json` 中的敏感配置（包括模型 API key、Telegram bot token、gateway auth token）；从安全角度应视为已暴露，后续宜尽快轮换相关凭证。